Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Gunakan laporan audit dengan CA pribadi Anda
<a name="PcaAuditReport"></a>

Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Laporan disimpan di bucket S3 baru atau yang sudah ada yang Anda tentukan pada input. 

Untuk informasi tentang cara menambahkan perlindungan enkripsi ke laporan audit Anda, lihat [Mengenkripsi laporan audit](#audit-report-encryption).

File laporan audit memiliki jalur dan nama file berikut. The ARN untuk bucket Amazon S3 adalah nilai untuk `amzn-s3-demo-bucket`. `CA_ID` adalah pengenal unik penerbitan CA. `UUID` adalah pengenal unik laporan audit. 

```
amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]
```

Anda dapat membuat laporan baru setiap 30 menit dan mengunduhnya dari bucket Anda. Contoh berikut menunjukkan laporan terpisah CSV.

```
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
```

Contoh berikut menunjukkan laporan berformat JSON. 

```
[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
```

**catatan**  
Saat AWS Certificate Manager memperbarui sertifikat, laporan audit CA pribadi mengisi `requestedByServicePrincipal` bidang dengan. `acm.amazonaws.com` Ini menunjukkan bahwa AWS Certificate Manager layanan disebut `IssueCertificate` tindakan AWS Private CA API atas nama pelanggan untuk memperbarui sertifikat.

## Siapkan bucket Amazon S3 untuk laporan audit
<a name="s3-access"></a>

**penting**  
AWS Private CA tidak mendukung penggunaan [Amazon S3 Object](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) Lock. Jika Anda mengaktifkan Object Lock di bucket, Anda AWS Private CA tidak dapat menulis laporan audit ke bucket.

Untuk menyimpan laporan audit, Anda perlu menyiapkan bucket Amazon S3. Untuk informasi selengkapnya, lihat [Bagaimana Cara Membuat bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html) 

Bucket S3 Anda harus diamankan dengan kebijakan izin yang memungkinkan AWS Private CA untuk mengakses dan menulis ke bucket S3 yang Anda tentukan. Pengguna resmi dan kepala layanan memerlukan `Put` izin AWS Private CA untuk mengizinkan menempatkan objek di ember, dan `Get` izin untuk mengambilnya. Kami menyarankan Anda menerapkan kebijakan yang ditunjukkan di bawah ini, yang membatasi akses ke AWS akun dan ARN CA pribadi. Atau, Anda dapat menggunakan kunci kondisi [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) untuk membatasi akses ke organisasi tertentu di AWS Organizations. Untuk informasi selengkapnya tentang kebijakan bucket, lihat [Kebijakan Bucket untuk Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).

## Membuat laporan audit
<a name="create-the-report"></a>

Anda dapat membuat laporan audit baik dari konsol tersebut atau AWS CLI.

**Untuk membuat laporan audit (konsol)**

1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di [https://console.aws.amazon.com/acm-pca/rumah](https://console.aws.amazon.com/acm-pca/home).

1. Pada halaman **Private Certificate Authories**, pilih CA pribadi Anda dari daftar.

1. Dari menu **Tindakan**, pilih **Hasilkan laporan audit**.

1. Di bawah **tujuan laporan Audit**, untuk **Buat bucket S3 baru**? , pilih **Ya** dan ketik nama bucket unik, atau pilih **Tidak** dan pilih bucket yang ada dari daftar. 

   Jika Anda memilih **Ya**, AWS Private CA buat dan lampirkan kebijakan default ke bucket Anda. Kebijakan default menyertakan kunci `aws:SourceAccount` kondisi, yang membatasi akses ke AWS akun tertentu. Jika ingin membatasi akses lebih lanjut, Anda dapat menambahkan kunci kondisi lain ke kebijakan seperti pada contoh [sebelumnya](#s3-access).

   Jika Anda memilih **Tidak**, Anda harus melampirkan kebijakan ke bucket agar dapat membuat laporan audit. Gunakan pola kebijakan yang dijelaskan dalam[Siapkan bucket Amazon S3 untuk laporan audit](#s3-access). Untuk informasi tentang melampirkan kebijakan, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).

1. Di bawah **format Output**, pilih **JSON** untuk Notasi JavaScript Objek atau **CSV** untuk nilai yang dipisahkan koma. 

1. Pilih **Hasilkan laporan audit**.

**Untuk membuat laporan audit (AWS CLI)**

1. Jika Anda belum memiliki bucket S3 untuk digunakan, [buat satu](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).

1. Lampirkan kebijakan ke bucket Anda Gunakan pola kebijakan yang dijelaskan dalam[Siapkan bucket Amazon S3 untuk laporan audit](#s3-access). Untuk informasi tentang melampirkan kebijakan, lihat [Menambahkan kebijakan bucket menggunakan konsol Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)

1. Gunakan perintah [create-certificate-authority-audit-report](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority-audit-report.html) untuk membuat laporan audit dan menempatkannya di bucket S3 yang sudah disiapkan.

   ```
   $ aws acm-pca create-certificate-authority-audit-report \
   --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --s3-bucket-name amzn-s3-demo-bucket \
   --audit-report-response-format JSON
   ```

## Mengambil laporan audit
<a name="audit-report-retrieving"></a>

Untuk mengambil laporan audit untuk pemeriksaan, gunakan konsol Amazon S3, API, CLI, atau SDK. Untuk informasi selengkapnya, lihat [Mengunduh objek](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) di *Panduan Pengguna Amazon Simple Storage Service*.

## Mengenkripsi laporan audit
<a name="audit-report-encryption"></a>

Anda dapat mengonfigurasi enkripsi secara opsional di bucket Amazon S3 yang berisi laporan audit Anda. AWS Private CA mendukung dua mode enkripsi untuk aset di S3:
+ Enkripsi sisi server otomatis dengan kunci AES-256 terkelola Amazon S3.
+ Enkripsi terkelola pelanggan menggunakan AWS Key Management Service dan AWS KMS key dikonfigurasi dengan spesifikasi Anda.

**catatan**  
AWS Private CA tidak mendukung penggunaan kunci KMS default yang dihasilkan secara otomatis oleh S3.

Prosedur berikut menjelaskan cara menyiapkan setiap opsi enkripsi.

**Untuk mengkonfigurasi enkripsi otomatis**

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi sisi server S3.

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Di tabel **Bucket**, pilih ember yang akan menampung AWS Private CA aset Anda.

1. Pada halaman untuk bucket Anda, pilih tab **Properti**.

1. Pilih kartu **Enkripsi default**.

1. Pilih **Aktifkan**.

1. Pilih **Kunci Amazon S3 (SSE-S3)**.

1. Pilih **Simpan Perubahan**.

**Untuk mengkonfigurasi enkripsi kustom**

Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi menggunakan kunci kustom.

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Di tabel **Bucket**, pilih ember yang akan menampung AWS Private CA aset Anda.

1. Pada halaman untuk bucket Anda, pilih tab **Properti**.

1. Pilih kartu **Enkripsi default**.

1. Pilih **Aktifkan**.

1. Pilih **AWS Key Management Service kunci (SSE-KMS)**.

1. Pilih salah satu **Pilih dari AWS KMS kunci Anda** atau **Masukkan AWS KMS key ARN**.

1. Pilih **Simpan Perubahan**.

1. (Opsional) Jika Anda belum memiliki kunci KMS, buat satu menggunakan perintah AWS CLI [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) berikut:

   ```
   $ aws kms create-key
   ```

   Outputnya berisi ID kunci dan Nama Sumber Daya Amazon (ARN) dari kunci KMS. Berikut ini adalah contoh output:

   ```
   {
       "KeyMetadata": {
           "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
           "Description": "",
           "Enabled": true,
           "KeyUsage": "ENCRYPT_DECRYPT",
           "KeyState": "Enabled",
           "CreationDate": 1478910250.94,
           "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
           "AWSAccountId": "123456789012"
       }
   }
   ```

1. Dengan menggunakan langkah-langkah berikut, Anda memberikan izin kepada kepala AWS Private CA layanan untuk menggunakan kunci KMS. Secara default, semua kunci KMS bersifat pribadi; hanya pemilik sumber daya yang dapat menggunakan kunci KMS untuk mengenkripsi dan mendekripsi data. Namun, pemilik sumber daya dapat memberikan izin untuk mengakses kunci KMS ke pengguna dan sumber daya lain. Prinsipal layanan harus berada di Wilayah yang sama dengan tempat kunci KMS disimpan.

   1. Pertama, simpan kebijakan default untuk kunci KMS Anda seperti `policy.json` menggunakan [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah berikut:

      ```
      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
      ```

   1. Buka file `policy.json` di editor teks. Pilih salah satu pernyataan kebijakan berikut dan tambahkan ke kebijakan yang ada.

      Jika kunci bucket Amazon S3 *diaktifkan*, gunakan pernyataan berikut:

      ```
      {
         "Sid":"Allow ACM-PCA use of the key",
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "kms:GenerateDataKey",
            "kms:Decrypt"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
            }
         }
      }
      ```

      Jika kunci bucket Amazon S3 *dinonaktifkan*, gunakan pernyataan berikut:

      ```
      {
         "Sid":"Allow ACM-PCA use of the key",
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "kms:GenerateDataKey",
            "kms:Decrypt"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "kms:EncryptionContext:aws:s3:arn":[
                  "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
                  "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
                  "arn:aws:s3:::bucket-name/audit-report/*",
                  "arn:aws:s3:::bucket-name/crl/*"
               ]
            }
         }
      }
      ```

   1. Terakhir, terapkan kebijakan yang diperbarui menggunakan [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah berikut:

      ```
      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json
      ```